İnternette güvenlik için 10 altın kural

Dünyayı şekillendiren uygulamaların güvenliği şirketlerin kritik önceliği haline gelirken, Innovera web uygulama güvenliği için 10 maddelik reçeteyi açıkladı.
 Tarih: 12-06-2019 08:00:00
İnternette güvenlik için 10 altın kural
Dünyayı şekillendiren uygulamaların güvenliği şirketlerin kritik önceliği haline gelirken, Innovera web uygulama güvenliği için 10 maddelik reçeteyi açıkladı.

Dijital dönüşümün hızlanmasıyla birlikte, gerek kurumsal gerekse son kullanıcıya yönelik birçok hizmet ve süreç web uygulamalarıyla yönetilir hale geldi. Bankacılıktan eğitime, sağlıktan ulaşıma kadar pek çok süreç web uygulamaları üzerinden yürüyor. Modern yaşamın kritik bileşenlerinden biri haline gelen bu uygulamaların güvenliğini garanti altına almak ise hizmet sağlayıcıların en önemli görevlerinden biri oldu. Siber güvenlik entegratörü Innovera, güvenli bir internet deneyimi için web uygulama geliştiricilerin alması gereken güvenlik tedbirlerini 10 maddede özetledi:

1. Güvenli bağlantı ve güncel sertifikalar kullanın

Tarayıcıların adres çubuğunda yeşil bir kutucuğun içerisinde yer alan “Güvenli” ibaresi, bağlı olduğumuz internet sitesinin uçtan uca şifrelendiğini gösteriyor. Bu ibareye sahip olabilmek için ise sitenin “HTTPS” protokolüyle çalışması gerekiyor. Sıradan HTTP sayfalarının sonuna eklenen “S” ibaresi, adını İngilizce güvenlik kelimesinden alıyor ve interneti şifreleyerek güvenli hale getiriyor. Bu yüzden ödeme ve üyelik sayfaları gibi kullanıcı tarafından veri girişi yapılan her internet sayfasında bu protokolün kullanılması gerekiyor.

Güvenli internetin gelişmesine öncülük eden Google gibi arama motorları, her internet sitesinin bu protokolü kullanmasını tavsiye ediyor. Güvenli bağlantılar, farklı hizmet sağlayıcılardan satın alınan “SSL Sertifikaları” ile elde ediliyor. Bu sebeple sertifikalandırma süreçlerinde hem güvenilir bir firma ile çalışmak hem de sertifikanın güncel olduğuna emin olmak gerekiyor.

2. Dış ağa açık giriş ekranlarına captcha yerleştirin

Bir siteye üye olurken ortaya çıkan “Ben robot değilim” kutucuğunu hepimiz yakından tanıyoruz. Bu kutucuğa tıkladığımızda, yapay zeka ve makine öğreniminden beslenen algoritmalar internet üzerindeki tüm faaliyetlerimizi kontrol ederek bizim gerçek bir insan olup olmadığımızı kontrol ediyor. Şüpheli bir hareket sezdiğinde ise karşımıza görseller çıkararak bizden doğru seçimleri yapmamızı bekliyor.

“Captcha” olarak adlandırılan ve hayatımıza okunması zor harf kombinasyonlarıyla giren bu denetleme sistemini, şirketinizin dış ağa açık olan giriş ekranlarında kullanabilirsiniz. Çoklu yanlış denemelerde hesabı belirli bir süre kısıtlayarak, brute force olarak da bilinen ve sistemlere sızmak için ardı ardına veri girişi yapılması gereken saldırıların önüne geçebilirsiniz.

3. İstemcilerde çerez güvenliğini sağlayın

İnternet üzerindeki her hareketimizde arkamızda bir iz bırakıyoruz. Bu izler pazarlama ve reklam için kullanılabileceği gibi kötü amaçlarla da kullanılabiliyor. Bu sebeple kullanıcıların dijital dünyadaki ayak izleri anlamına gelen çerezlerin (cookie) en iyi şekilde korunduğuna emin olmak gerekiyor. Örneğin çerezlerin samesite başlıklarındaki güvenlik “httponly” ve “secure” kullanarak artırılabiliyor. İnternet sitesinde CSRF ve XSS üzerinden oluşabilecek riskler ise sunucunun başlık (header) bilgilerine “sameorigin (SOP), cross-origin resource sharing (CORS)” ve “http nosniff” ibarelerinin eklenmesiyle minimuma iniyor. Bu işlemler biraz teknik olsa da kısa bir internet araştırmasıyla kolaylıkla uygulanabiliyor.

4. Tahmin edilebilir dizinlerden kaçının

Uygulama sunucusu üzerinde tahmin edilebilir dizin isimleri olmadığından emin olmak, kritik dosyaların güvenliği için oldukça önemli. Dışarıdan erişilmesini istemediğiniz bir dosyanın adını “belge” olarak kaydettiğinizde, site domaininin sonuna eklenen “/belge” kelimesi, herhangi bir kullanıcının ilgili dosyalara erişmesi anlamına geliyor. Bu sebeple dosya ve dizinlere yüksek hassasiyetle yaklaşmaya daha isimlendirme aşamasındayken başlamak gerekiyor.

5. Botlara dikkat edin

Web uygulamanızdaki hassas dizinlerin robots.txt dosyası içinde yer almadığından emin olun. Google, Yandex ve Bing gibi arama motorları tarafından yaratılan ve interneti düzenli olarak tarayan akıllı botlar, her internet sayfasını tek tek tarayıp arama sonuçlarında tüm dünyaya sunmak için durmaksızın çalışıyor. Özel bilgiler içeren ve sizden başka kimsenin görmesini istemediğiniz sayfaların yanlışlıkla bir Google aramasında çıkmasını istemezsiniz. Neyse ki basit robots.txt düzenlemeleri ile bu durumun önüne geçilebiliyor.

6. Güçlü parolalar kullanın

2019 yılında azımsanmayacak sayıda insan halen doğum tarihi ve isimlerinden oluşan kombinasyonlarla parolalar oluşturuyor. Bu parolalar hem kötü niyetli kişiler tarafından rahatlıkla tahmin edilebiliyor hem de dakikada binlerce deneme yapabilen zararlı yazılımlar tarafından kolaylıkla çözülebiliyor. Bu yüzden minimum sekiz karakterden oluşan ve içerisinde sayı, özel karakter, büyük ve küçük harf barındıran güçlü şifreler oluşturmak gerekiyor.

7. Her framework ve kütüphaneyi kullanmayın

İnternet üzerinde çalışan tüm uygulamalar, sayısız framework ve kütüphaneden faydalanıyor. Framework; web uygulamasının ortaya çıkmasını sağlayan çalışma ortamını, kütüphane ise daha önce başkaları tarafından hazırlanmış hazır kod parçacıklarını temsil ediyor. Bu ikili, genellikle yapılacak işin ihtiyacına göre projenin başlangıç aşamalarında seçiliyor. Web uygulamanızda bir kütüphane kullandığınızda, aslında dışarıdan destek almış oluyorsunuz. Ekibinizden olmayan, farklı bir geliştirici tarafından yazılmış kod parçacıklarını projenize dahil ediyorsunuz. Kısacası seçici olmakta büyük fayda var. Güncel versiyonlara sahip olmayan ya da günümüz teknolojileriyle uyumlu çalışmayan kütüphane ve framework’ler yarardan çok zarar getirebiliyor.

8. Formlarınızı güvende tutun

Uygulamalarda bulunan form işlemlerinde, kullanıcılarınız için rastgele üretilmiş eşsiz bir token (geçici anahtar) ile “Siteler Arası Talep Sahteciliği (CSRF)” zafiyetine karşı önlem alabilirsiniz. Bu token’lar kullanıcıların yapmak istedikleri işlem için yalnızca bir defa üretilir ve bir süre sonra kullanım dışı kalır. Böylelikle uygulamanızda uçtan uca güvenlik sağlar.

9. Temizleme işlemi (Sanitize)

Kullanıcılarınızdan gelen tüm verilerin kontrol edilerek işleme alındığından emin olmak adına temizleme işlemi (Sanitize) yapılmalıdır. Sanitize, girdinin kabul edilebilir bir formata çevrilmesi işlemidir. Beyaz liste mantığı ile sanitize işlemine örnek vermek gerekirse, kullanıcıdan alınan TCKN verisinin içinde geçen ve sayı olmayan tüm karakterlerin silinmesidir. Kara liste mantığı ile sanitize işlemine örnek vermek gerekirse kullanıcıdan alınan isim parametresi gibi alanlarda bulunan ve uygulama için risk oluşturabilecek (tek tırnak, çift tırnak vb.) karakterlerin silinmesi gösterilebilir. Veri denetimi gerçekleştirirken, uygun alanlarda beyaz liste mantığı ile önlem alınmasını önermekteyiz.

10. Detaylı hata mesajı göstermeyin

Ortaya çıkan hata mesajlarını tek tek kontrol ederek, kullanıcılarınıza gereğinden fazla bilgi sunan ayrıntılı hata mesajlarının verilmesini engellemeniz gerekiyor. Zira bir siber saldırgan, detaylı bir hata mesajından sisteminizin nasıl çalıştığına ilişkin fikir edinebilir. Bu sebeple hata ayıklama verilerini, incelenmek üzere harici bir kayıt dosyasına yönlendirmenizi tavsiye ediyoruz.

  Kaynak: DHA
  DİĞER TEKNOLOJİ Haberleri
PUAN DURUMU
Takım O G M B A Y P AV
1 Galatasaray 34 20 5 9 72 36 69 +36
2 Medipol Başakşehir 34 19 5 10 49 22 67 +27
3 Beşiktaş 34 19 7 8 72 46 65 +26
4 Trabzonspor 34 18 7 9 64 46 63 +18
5 Yeni Malatyaspor 34 13 13 8 47 46 47 +1
6 Fenerbahçe 34 11 10 13 44 44 46 0
7 Antalyaspor 34 13 15 6 39 55 45 -16
8 Atiker Konyaspor 34 9 8 17 40 38 44 +2
9 Alanyaspor 34 12 14 8 37 43 44 -6
10 Kayserispor 34 10 13 11 35 50 41 -15
11 Çaykur Rizespor 34 9 11 14 48 50 41 -2
12 Sivasspor 34 10 13 11 49 54 41 -5
13 MKE Ankaragücü 34 11 16 7 38 53 40 -15
14 Kasımpaşa 34 11 17 6 53 62 39 -9
15 Göztepe 34 11 18 5 37 42 38 -5
16 Bursaspor 34 7 11 16 28 37 37 -9
17 BB Erzurumspor 34 8 15 11 36 43 35 -7
18 Akhisarspor 34 6 19 9 33 54 27 -21
Takım O G M B A Y P AV
1 Hatayspor 17 10 2 5 30 10 35
2 Gençlerbirliği 17 11 4 2 26 13 35
3 Denizlispor 17 9 2 6 33 12 33
4 Adana Demirspor 17 9 3 5 32 15 32
5 Altınordu 17 9 4 4 30 15 31
6 Ümraniyespor 17 9 5 3 25 17 30
7 Gazişehir Gaziantep FK 17 8 5 4 26 15 28
8 Boluspor 17 8 5 4 25 18 28
9 İstanbulspor 17 8 5 4 27 28 28
10 Balıkesirspor Baltok 17 8 6 3 26 23 27
11 Eskişehirspor 17 7 4 6 23 22 27
12 Altay 17 7 5 5 24 15 26
13 Osmanlıspor FK 17 8 7 2 22 19 26
14 Giresunspor 17 6 8 3 19 22 21
15 Adanaspor 17 3 8 6 21 25 15
16 Afjet Afyonspor 17 3 8 6 19 30 15
17 Elazığspor 17 3 10 4 19 28 13
18 Kardemir Karabükspor 17 0 14 3 7 43 3
Takım O G M B A Y P AV
1 Manisa BBSK 17 13 2 2 45 13 41
2 Fatih Karagümrük 17 13 2 2 35 15 41
3 Menemen Belediyespor 17 10 2 5 34 19 35
4 Tuzlaspor 17 10 4 3 36 14 33
5 Sivas Belediyespor 17 9 3 5 36 21 32
6 Etimesgut Belediyespor 17 8 3 6 24 13 30
7 Bandırmaspor 17 9 5 3 28 20 30
8 Tarsus İdman Yurdu 17 8 5 4 35 26 28
9 Pendikspor 17 7 3 7 30 22 28
10 Şanlıurfaspor 17 7 4 6 23 15 27
11 Kırklarelispor 17 7 4 6 22 17 27
12 Zonguldak Kömürspor 17 7 5 5 19 16 26
13 Kahramanmaraşspor 17 7 6 4 21 21 25
14 Konya Anadolu Selçukspor 17 5 5 7 28 32 22
15 Bak Spor 17 4 5 8 16 28 20
16 Fethiyespor 17 4 6 7 14 18 19
17 Tokatspor 17 5 9 3 15 20 18
18 Darıca Gençlerbirliği 17 3 11 3 13 36 12
Takım O G M B A Y P AV
1 Nazilli Belediyespor 16 10 0 6 35 14 36
2 Tire 1922 16 9 0 7 29 10 34
3 Hekimoğlu Trabzon 16 9 2 5 23 9 32
4 Nevşehir Belediyespor 16 7 2 7 30 16 28
5 Ergene Velimeşe 16 8 5 3 22 15 27
6 Karaköprü Belediyespor 16 8 5 3 25 19 27
7 Silivrispor 16 7 4 5 18 10 26
8 Artvin Hopaspor 16 6 3 7 17 13 25
9 Erzin Belediyespor 16 6 4 6 31 18 24
10 Erbaaspor 16 6 4 6 20 13 24
11 Şile Yıldızspor 16 7 7 2 32 24 23
12 Gebzespor 16 6 5 5 18 14 23
13 Yomraspor 16 5 4 7 20 17 22
14 Batman Petrolspor 16 6 6 4 15 17 22
15 Kozan Belediyespor 16 5 4 7 17 18 22
16 Büyükçekmece Tepecikspor 16 6 7 3 19 20 21
17 Körfez Spor Kulübü 16 1 12 3 9 37 6
Tarih Ev Sahibi Sonuç Konuk Takım
 26/05/2019 Fenerbahçe 3 - 1 Antalyaspor
 26/05/2019 Göztepe 2 - 1 MKE Ankaragücü
 26/05/2019 Yeni Malatyaspor 1 - 2 Bursaspor
 26/05/2019 Kayserispor 0 - 2 BB Erzurumspor
 25/05/2019 Atiker Konyaspor 0 - 0 Akhisarspor
 24/05/2019 Sivasspor 4 - 3 Galatasaray
 24/05/2019 Çaykur Rizespor 2 - 3 Trabzonspor
 24/05/2019 Beşiktaş 3 - 2 Kasımpaşa
 24/05/2019 Medipol Başakşehir 1 - 1 Alanyaspor
Tarih Ev Sahibi Sonuç Konuk Takım
 18/05/2019 İstanbulspor 2 - 5 Denizlispor
 18/05/2019 Gençlerbirliği 1 - 2 Adana Demirspor
 18/05/2019 Giresunspor 3 - 1 Altınordu
 18/05/2019 Kardemir Karabükspor 1 - 6 Gazişehir Gaziantep FK
 18/05/2019 Adanaspor 1 - 4 Osmanlıspor FK
 17/05/2019 Altay 4 - 0 Elazığspor
 17/05/2019 Boluspor 3 - 2 Eskişehirspor
 17/05/2019 Balıkesirspor 0 - 3 Hatayspor
 17/05/2019 Afjet Afyonspor 2 - 2 Ümraniyespor
Tarih Ev Sahibi Sonuç Konuk Takım
 04/05/2019 Anadolu Selçukspor 4 - 3 Menemen Belediyespor
 04/05/2019 Bandırmaspor 2 - 1 Fethiyespor
 04/05/2019 Bak Spor 0 - 0 Kırklarelispor
 04/05/2019 Tarsus İdman Yurdu 3 - 1 Darıca Gençlerbirliği
 04/05/2019 Etimesgut Belediyespor 4 - 0 Zonguldak Kömürspor
 04/05/2019 Manisa BBSK 2 - 0 Sivas Belediyespor
 04/05/2019 Pendikspor 6 - 3 Kahramanmaraşspor
 04/05/2019 Şanlıurfaspor 1 - 1 Tuzlaspor
 Hük. Fatih Karagümrük 3 - 0 Tokatspor
Tarih Ev Sahibi Sonuç Konuk Takım
 04/05/2019 Körfez Spor Kulübü 1 - 4 Nazilli Belediyespor
 04/05/2019 Büyükçekmece Tepecikspor 2 - 1 Kozan Belediyespor
 04/05/2019 Batman Petrolspor 1 - 2 Nevşehir Belediyespor
 04/05/2019 Yomraspor 1 - 3 Tire 1922
 04/05/2019 Erbaaspor 1 - 0 Gebzespor
 04/05/2019 Erzin Belediyespor 2 - 3 Artvin Hopaspor
 04/05/2019 Hekimoğlu Trabzon 1 - 2 Karaköprü Belediyespor
 04/05/2019 Şile Yıldızspor 0 - 3 Silivrispor
HABER ARŞİVİ
GAZETEMİZ
Tüm Anketler
Web sitemize nasıl ulaştınız?
ŞANS OYUNLARI
BİZİ TAKİP EDİN
  • YUKARI